特定のエクスポージャーファクターなしで単一の予想損失を計算するにはどうすればよいですか?
誰かに説明してもらえますか?
コメント
- SLE定義の行間を読む露出係数は、自分で見積もる必要のある主観的な尺度である必要があると思います。
回答
実際の、過去の、推定された、または推測で推定されたエクスポージャーファクター(EF)がないと、単一損失期待値(SLE)を計算できません。 )。定量分析をカバーするほとんどのINFOSECリスク管理トレーニング資料に欠けているのは、一般的なリスク定義[リスク= f(資産、脅威、脆弱性)]をEFに変換する方法について多くのガイダンスを提供していないことだと思います。 SLEとALEの公式。私は今オンラインで調べましたが、それをうまくカバーしている人は誰もいませんでした。
リスクが存在するためには、悪用する脆弱性とその脆弱性に対する脅威が必要です。これらの脅威には、発生する可能性もあります(これは、観察された攻撃に基づいている可能性があります)。脅威の確率は、定量分析における年間発生率に変換されます。したがって、EFは主に、脅威が発生したときの脆弱性とその資産への影響に基づいています。
多くのリスクごと(脅威ごと/脆弱性のペアを意味します)のEFは、0EFまたは1EFになります。これにより、リスク分析のワークロードの一部が削減されます。また、EF推定を行う際に、脆弱性を軽減または排除するために導入されている緩和策を検討するのにも役立つ場合があります。
些細な0および1EFのいくつかの単純な例:
-
資産:オンラインでアクセス可能な銀行口座の残高
-
脅威:ハッカーは釣りのメールを使用して銀行口座のログインを取得し、口座を空にします
- 脆弱性:HUMINT:口座名義人がだまされてユーザーID &パスワードを明らかにする
- 緩和策:なし
- 結果として生じるEF銀行口座の残高:1.0
-
脅威:ハッカーは釣りのメールを使用して銀行口座のログインを取得し、口座を空にします
- 脆弱性:HUMINT :口座名義人はだまされてユーザーID &パスワードを明らかにします
- 緩和策:銀行は外部残高の送金をオンラインで開始することを許可していません。銀行は口座番号を表示していません。オンラインで番号をルーティングする
- 結果として生じるEFから銀行口座baへランス:0.0
-
脅威:ハッカーはソーシャルメディアサイトから盗まれたユーザーID /パスワードの最近のリストを使用します
- 脆弱性:HUMINT :多くのアカウント所有者はすべてのサイトで同じパスワードを使用し、認証:多くのサイト(この銀行を含む)はユーザーIDとして自分のメールアドレスを使用します
- 緩和策:銀行には2要素認証があります
- 銀行口座残高に対するEFの結果:0.0
-
他のほとんどのリスクについては、脆弱性を評価する必要があります、脅威、および推定EFを決定するための脆弱性軽減策。リスクに応じてEFの基礎となる実際の観測データが多くない場合、これらの個々のSLEは大幅にオフラインになる可能性があります。年間総損失期待値にロールアップすると、個々のEFの見積もりが不十分なため、非常に大きな許容誤差が生じる可能性があります。
ただし、銀行業界を例にとると、 -長年の運用で、詳細な過去の損失データ(サイバー関連の損失を含む)があります。銀行は実際にこれらの値(EF、SLE、ARO、ALE)を現在までの履歴について非常に正確に計算し、将来の損失の予測に使用できます。
また、詳細な損失履歴がある場合、銀行は、新しい緩和策(2要素認証など)を実装する場合の比較的正確なwhat-ifコスト対利益分析を実行できます。
- その緩和策を実装および展開するための総コスト見積もりを決定します。 。
- 一定期間(たとえば10年)にわたる現在のEFを指定して、合計ALEを計算します。
- 緩和策が影響するEFを微調整します。
- 同じ期間の新しい集計ALEを計算します。
- 新しい集計ALEと現在の集計ALEの差を計算します。総ALE(新しいALEが理想的には現在のALEよりも小さいという点で利益が期待されます)
- 利益(損失の削減)が実装の総コストよりも大きい場合は、そうします。メリット(損失の削減)が実装する総コストよりも大幅に少ない場合、コスト対メリットの分析では、軽減策を実装しないことをお勧めします。
コメント
- これらの見積もりを扱う"アカデミック"エリアはどれですか?本質的に保険数理のようです。
- 多くの学問分野では、リスク分析を利用して研究を行っています。金融/保険リスクはその代表的な例であり、MBAを取得したことで、リスク分析がそのカリキュラムの一部であることを私は知っています。 リスク管理は、最初からすべてのサイバーセキュリティの実際の基盤であり、認定されたINFOSECリスク評価の専門家として、コンピュータサイエンスのカリキュラムで教えられていることを私は知っています。 リスク分析は、人間行動科学、疾病管理科学、および他の多くの部分でもある可能性があります。
- ありがとう。 それは、損害保険の保険料の基本的な同等物であると私は思いました(請求の費用x請求の確率)。